专家视角：谁来负责非结构化数据的安全管理？

非结构化数据——文档、电子邮件、共享驱动器、协作工具、录音文件——历来难以治理。这类数据无法整齐地纳入数据库，会在不同平台之间流转，悄悄堆积在无人记得创建的角落。如今，AI工具又让更多此类数据浮出水面。

"AI是有史以来最高效的数据摄取引擎，"Levi Strauss首席数字与技术官Jason Gowans说，"每一个内部RAG系统、每一个智能副驾驶工具、每一个会议转录应用，都在读取你的非结构化数据，而且它们中的大多数在设计之初根本没有考虑数据边界。"

云安全联盟受Thales委托开展的最新研究显示，在210家受访企业中，68%存在大量未受保护的非结构化数据，但75%的企业却认为自身的安全状况处于中等或较高水平。这种认知落差，往往源于一个看似简单却充满迷惑性的问题：这些数据，到底归谁管？

本文采访的两位技术负责人给出了不同的应对思路——一位构建了安全、数据与隐私负责人共同承担责任的协作机制，另一位则选择了兼顾速度与灵活性的务实防护策略。

两位受访者都表示，AI正在倒逼企业对非结构化数据治理展开更深入的审视。

以下是他们分享的各自公司在非结构化数据安全管理方面的实践经验，以及对那些仍在为"归属权"问题苦苦挣扎的同行们的建议。

Jason Gowans，Levi Strauss & Co. 首席数字与技术官

Levi's目前由谁负责非结构化数据安全，你们是如何确立这一模式的？

Jason Gowans：责任归属不是组织架构图上的某个单一名字，而是各职能部门之间达成的一份契约。在Levi's，首席信息安全官（CISO）负责管控框架与风险态势；我担任的首席数字与技术官（CDTO）负责数据平台、集成层以及数据流转的治理政策；首席隐私官（CPO）则是第三方声音，尤其在涉及客户或员工数据时不可或缺。

我们之所以采用这种模式，是因为没有任何一个职能部门能拥有完整的视野。安全团队可以设置管控措施，但不一定清楚数据的存在形态和使用方式；数据团队知道数据存在哪里，但未必了解威胁态势；隐私团队清楚合规监管的风险，却不一定掌握技术架构。共同承担责任，才能真正推动各方协同一致。

有没有某个具体事件或时刻，促使你们明确了责任归属？

Gowans：AI是那个触发点。当我们开始部署智能体搜索——一种能够检索内部文档并进行推理的AI系统时，我们发现大量数据存在权限配置不当的问题。这些数据并未对外暴露，但内部能够访问的人远超实际需要。当人工手动检索时，这只是一个尚可控制的风险；但当AI能够瞬间提取并关联信息时，性质就完全不同了。

正是从那时起，我们正式确立了三方协作机制。CISO、CDTO和CPO现在定期举行专门针对AI治理的会议。每一次AI部署，都被视为一次非结构化数据安全事件来对待。

现行模式中，哪些在发挥作用？哪些还有待完善？

Gowans：发挥作用的，是高层之间的协作关系。当CISO和我保持一致时，问题升级的情况就很少出现。团队知道遇到问题该找谁、该达到什么预期。

仍在持续推进的，是历史遗留的数据资产：二十多年来积累的文件共享、邮件归档、SharePoint站点，以及各种我们曾采购、已废弃或半停用的工具。这些数据与现代数据模型格格不入，没有清晰的责任归属。在任何大型企业中，非结构化数据安全问题的大部分，都藏在这条"长尾"里。梳理清楚这些数据所需付出的成本是实实在在的。我们正在一步步推进，但这是一个以年为单位来衡量的工程，而不是几个季度就能完成的事。

对于仍在这个问题上苦苦挣扎的同行，你有什么建议？

Gowans：不要试图找一个人来承担所有责任。要明确划分各项职责——谁制定策略、谁执行管控、谁负责平台、谁处理事件——然后让这些人定期坐下来沟通。先做分类，再谈管控。把每一次AI部署都当作一次非结构化数据事件来对待，因为它本来就是。

Michael Taylor，梅赛德斯-AMG Petronas一级方程式车队 IT总监

梅赛德斯-AMG Petronas的非结构化数据安全由谁负责，你们是如何确立这一模式的？

Michael Taylor：我们整个组织的数据所有权模式相对宽松。从成熟度来看，我们做到了"足够好"——足以支撑组织正常高效地运转。如果管控过于严苛，反而可能产生边际收益递减的效果。

我们的文化是工程师主导、赋能优先。我们信任我们的员工，也依赖他们的判断。

我们之所以选择"足够好"这个标准，是因为我们把讨论的焦点从"完美"转向了"务实"。所谓足够好，是指：我们对数据有清晰的可见度，对访问权限的合理性有信心，管控措施与风险等级相称，同时用户体验不会影响团队的工作节奏。

对于跨越多个领域的灰色地带数据，比如共享驱动器或协作工具中的数据，你们如何处理？

Taylor：灰色地带的处理，依赖于责任归属和使用场景的判断。在一个工程师主导、赋能优先的文化中，你无法靠简单说"不"来保障协作安全。你必须搞清楚：数据是什么、谁真正需要使用它、一旦泄露后果是什么，然后据此施加合理的管控措施。

共享驱动器和协作工具本身不是问题，真正的问题在于：访问权限管理混乱、数据归属不清晰，以及数据的保留时间超过了其实际用途。因此，我们的目标是在人们已有的工作方式上设置合理的护栏，而不是强行推行一套他们迟早会想方设法绕开的管控模式。

AI是否改变了你们的管理方式？

Taylor：AI确实改变了标准。它没有让"足够好"变得过时，但改变了"足够好"的含义。

过去，我们对非结构化数据中一定程度的混乱状态还能容忍，因为人工查找和关联信息需要花费大量精力。而有了内部AI助手，这个成本几乎为零。所以现在，"足够好"必须包含更强的数据可见度、更清晰的访问权限、更明确的责任归属、更完善的数据标签，以及对AI被允许索引、检索或推理哪些数据的更审慎的规划。

Q&A

Q1：非结构化数据安全的责任归属问题，为什么这么难解决？

A：非结构化数据本身就难以治理，它不适合存放在规整的数据库中，会跨平台流动，还会在被人遗忘的角落不断堆积。更关键的是，没有任何一个职能部门能拥有完整视野：安全团队知道风险却不清楚数据分布，数据团队知道数据在哪但不了解威胁，隐私团队懂合规但不掌握技术架构。这种天然的信息割裂，使得"谁来负责"这个问题长期悬而未决。

Q2：AI的普及对非结构化数据安全管理带来了哪些新挑战？

A：AI极大地降低了查找和关联数据的门槛。过去，人工检索非结构化数据需要耗费大量时间，数据权限配置不当尚属可控风险。但现在，AI系统可以瞬间索引、提取并关联海量内部文档，使得原本"仅内部可见"的数据面临更大的暴露风险。同时，会议转录、智能副驾驶等AI工具在读取非结构化数据时，往往并未按照既有的数据边界来设计，这给数据治理带来了新的复杂度。

Q3：企业在非结构化数据安全上应该追求"完美管控"还是"足够好"？

A：两位受访者给出了各自的实践答案。Levi Strauss选择了更严格的三方共同问责机制，并将每次AI部署视为数据安全事件；梅赛德斯-AMG Petronas则采取了"务实优先"的策略，在不影响工作效率的前提下设置合理护栏。两者的共同点在于：与其追求不切实际的完美管控，不如建立清晰的责任边界、保持数据可见度，并随着AI的普及持续更新"足够好"的定义。